Mit <kes>+ lesen

Phishing-Kampagne: : Quishing und Open-Redirect-Schwachstelle bedrohen Nutzer

Cyberkriminelle passen ihre Methoden erwiesenermaßen sehr zügig an veränderte Bedingungen an. Dazu gehört es auch, verschiedene Techniken so zu kombinieren, dass sich Angriffe schwerer erkennen lassen. Vor Kurzem stieß AV Labs auf eine Phishing-Kampagne, die zwei weit verbreitete Bedrohungen kombiniert: „Quishing“ und „Open Redirect Vulnerability“.

Beim Quishing oder QR-Phishing werden, wie der Name schon sagt, QR-Codes verwendet, um Phishing-URLs oder bösartig manipulierte URLs einzubetten und zu verschleiern. Sobald das Opfer den entsprechenden QR-Code scannt, wird es auf eine entsprechend präparierte Webseite umgeleitet. Angreifer haben QR-Codes vor allem aus zwei Gründen für sich entdeckt: Zum einen zwingen sie Nutzerinnen und Nutzer, auf potenziell weniger sichere Geräte wie Smartphones oder Tablets auszuweichen. Zum anderen lassen sich mit dieser Technik einige URL-Scanner umgehen. Denn die eigentliche Schad- oder Phishing-URL ist in der Spam-E-Mail nicht enthalten.

Was ist eine Open Redirect Schwachstelle?

In Webanwendungen ist eine Weiterleitung (Redirect) eine Methode, um einen User-Agent an eine andere URL als die ursprünglich angeforderte weiterzuleiten.
Dazu werden HTTP-Antwortcodes wie 301 (Moved Permanently) und 302 (Found, früher „Moved Temporarily“) verwendet. Andere relevante Codes sind 303, 307 und 308. Solche Weiterleitungen werden häufig verwendet, wenn eine Website auf eine neue URL umgestellt wird. Sie sollen sicherstellen, dass sowohl Besucher als auch Suchmaschinen-Crawler nahtlos auf die entsprechende Seite weitergeleitet werden. Redirects werden auch für andere Zwecke verwendet, zum Beispiel um doppelte Webseiten zusammenzuführen.

Angreifer haben diese Funktion über eine Open-Redirect-Schwachstelle ausgenutzt. Sie ermöglicht es dem Angreifer, eine Anwendung so zu manipulieren, dass Benutzer auf eine andere als die beabsichtigte URL umgeleitet werden. Dazu wird die URL so manipuliert, dass sie bestimmte Parameter enthält, die den Nutzer auf eine manipulierte Website umleiten. Durch Open-Redirect-Schwachstellen lassen sich beispielsweise Anmeldedaten abgreifen und die Benutzer auf Phishing-Websites umleiten.

Hier ist ein Beispiel für eine Open-Redirect-URL: hxxps://www[.]domain[.]com/1&redirecturl=http://malwaresite[.]com

In der obigen URL handelt es sich bei „domain.com” um eine vertrauenswürdige Domain. Die Redirect-URL hingegen lauter „malwaresite[.]com”. Dorthin wird ein Opfer weitergeleitet, sobald es den Link anklickt. Die Weiterleitung funktioniert durchaus effektiv, da Benutzer URLs normalerweise von links nach rechts lesen. Nehmen sie am Anfang eine vertrauenswürdige oder ihnen vertraute Domain wahr, ist es wahrscheinlicher, dass sie auf den betreffenden Link klicken. Zudem sind Open-Redirect-URLs oft sehr lang. Damit sinkt gleichzeitig die Wahrscheinlichkeit, den Teil am Ende der URL zu lesen.

Weitere Beispiele für Open-Redirect-URLs, wie sie in Quishing-/Phishing-Kampagnen verwendet werden, sind vertrauenswürdige Domains. Zum Beispiel:

  1. Suchmaschinen-Domains wie http://bing.com

(Bild: VIPRE Security Group)
  1. Gesundheitsbezogene Domains wie http://carestreamdental.com

(Bild: VIPRE Security Group)

3. Domains, die aktuelle Ereignisse, Nachrichten und unterhaltsame Inhalte liefern, wie indiatimes.com

(Bild: VIPRE Security Group)

4. CRM-Domains wie http://pipedrive.com

(Bild: VIPRE Security Group)

Analyse der Phishing-E-Mail

Die aktuelle Phishing-Kampagne, bei der die Angreifer Quishing und Open Redirect kombiniert haben, wurde in der in der ersten Maiwoche 2024 beobachtet.

Die Phishing-E-Mail gibt vor, dass es sich um die Bewertung einer Entschädigungsleistung handelt, die sich angeblich in der angehängten Datei befindet. Wie bei solchen Kampagnen üblich, wird dem Empfänger ein Gefühl der Dringlichkeit vermittelt. Einziges Ziel ist es, das Opfer dazu zu verleiten, den Anhang zu öffnen. Der E-Mail-Header hat sich als gefälscht erwiesen. In der E-Mail-Adresse des Absenders wird eine legitime Domain verwendet, um die standardmäßigen SPF-Prüfungen zu umgehen.

Das angehängte Dokument ist eine PDF-Datei mit Namen „[Zielverband] Appraisal Compensation form.pdf”. Öffnet man die Datei, findet man einen QR-Code vor, den man einscannen muss, um auf das Dokument zuzugreifen (siehe Abbildung 1). Der Angreifer verwendet die Vorlage einer bekannten Marke wie DocuSign, um die PDF-Datei vertrauenswürdig erscheinen zu lassen.

Seit Microsoft Makros in Office-Dateien wie Word und Excel standardmäßig blockiert, verwenden Angreifer zunehmend PDF-Dateien, auch die Verbreitung von Malware hat stark zugenommen. Aufgrund der komplexen Struktur von PDF-Dateien, haben Angreifer hier die Möglichkeit, schädliche URLs, Skripte oder verborgene Inhalte einzubetten und so herkömmliche Sicherheitsmaßnahmen erfolgreich zu umgehen.

Abbildung 1: Die PDF-Datei mit dem QR-Phishing/Quishing, (Bild: VIPRE Security Group)

Sobald der QR-Code gescannt ist, wird die URL „hxxps[:]//content[.]amanet[.]org/?m=CiGW.81UwlU3LD6ZH5M4ZoUXv03dAeWfC&r=hxxps[:]//bkafrn[.]com/?rfmubqxv&e=[E-Mail-Adresse des Opfers]” angezeigt.

Die Domain „amanet.org” ist in den USA für Online-Business- und Unternehmensschulungen bekannt. Unter Umständen vertraut ein Empfänger der URL aufgrund der bekannten Domain. Dabei bemerkt er nicht, hier eine eine Open Redirect-Schwachstelle ausgenutzt wird. Anstatt zu „amanet.org“ wird das Opfer zu „hxxps[:]//bkafrn[.]com/?rfmubqxv=[hash][E-Mail-Adresse des Opfers]“ umgeleitet – wie auch am Ende der Redirect-URL angegeben.

Bei der Analyse von „hxxps[:]//bkafrn[.]com/?rfmubqxv=[hash][E-Mail-Adresse des Opfers]“ hat das Research Team festgestellt, dass die Domain in der URL neu erstellt wurde. Der Angreifer verwendet Cloudflare Turnstile, um zu überprüfen, dass es sich bei einem Besucher um einen echten Menschen und nicht um einen Bot handelt. Cloudflare Turnstile ist ein kostenloser Service, der Websites vor Bots und anderem schädlichen Datenverkehr schützen soll. Es fungiert als ausgeklügelter CAPTCHA-Ersatz, der sich in jede beliebige Website integrieren lässt, ohne dass der Datenverkehr über Cloudflare geleitet werden muss.

Dieser Service ist so flexibel, entweder das CAPTCHA vor den Nutzern zu verbergen oder eine herkömmliche Bestätigungsseite anzuzeigen. Durch diese zusätzlichen Ebene werden automatisierte Sicherheitstools wie Webcrawler durch das CAPTCHA blockiert. Schädliche Inhalte lassen sich nicht mehr als solche erkennen und Sicherheitsmaßnahmen umgehen. E-Mails, die Links zu diesen Seiten enthalten, können Spamfilter umgehen und werden als unschädlich eingestuft.

Zudem wird die E-Mail-Adresse des Opfers an das Ende der URL angehängt. Mit dem Ausführen des Seitenskripts wird der Nutzer auf eine andere Seite weitergeleitet und die extrahierte E-Mail-Adresse auf einer benutzerdefinierten Anmeldeseite angezeigt. Diese tarnt sich als Microsoft O365 und fordert das Opfer auf, sein Passwort einzugeben.

Nach Eingabe des Passworts werden die eingegebenen Anmeldedaten über eine POST-Anfrage an den Server des Angreifers „hxxps[:]//yu2ipe30kal[.]americanpavernentsystems[.]com/common/login“ gesendet (siehe Abbildung 2).

Abbildung 2: Der Server, an den die gesammelten Anmeldedaten gesendet werden. (Bild: VIPRE Security Group)

Fazit

Bedrohungen via E-Mail stellen nach wie vor eine erhebliche Gefahr dar. Cyberkriminelle nutzen unterschiedliche Techniken, um nicht entdeckt zu werden und ihre Opfer zu täuschen. Dazu werden die zugrunde liegenden Strategien ständig verfeinert. Etwa, indem man verschiedene Bedrohungen wie Quishing mit Open Redirect kombiniert und vertrauenswürdige Plattformen für böswillige Weiterleitungen missbraucht. Hauptziel ist es, Sicherheitsmaßnahmen zu umgehen und die Glaubwürdigkeit bekannter Plattformen auszunutzen, um komplexe Redirect-Methoden zu implementieren.

Checkliste: Wie kann man sich vor dieser Art von Angriffen schützen?

  • E-Mails sind nach wie vor einer der am häufigsten verwendeten Angriffsvektoren für Phishing- und Malware-Dateien. Es empfiehlt sich unbedingt ein aktuelles Antivirenprogramm mit einem E-Mail-Scanner zu verwenden. Dieser sollte in der Lage sein, QR-Codes in E-Mail-Inhalten oder -Anhängen zu scannen, um festzustellen, ob eventuell ein Phishing-Versuch vorliegt.
  • Analysieren Sie die Grammatik der E-Mail, achten Sie auf den typischen Dringlichkeitscharakter und überprüfen Sie den Absender der E-Mail.
  • Aktivieren Sie die mehrstufige Authentifizierung (MFA), um die potenziellen Auswirkungen von Phishing-Versuchen zu begrenzen.
  • Benutzer sollten sicherstellen, dass sie auf wichtige Websites wie etwa ihr Online-Banking-Portal oder ihren Webmail -Account zugreifen, indem sie die URL direkt in den Webbrowser eingeben. Auf Suchmaschinen sollte man verzichten und nicht auf Links klicken, um solche Websites zu erreichen.
  • Beim Scannen eines QR-Codes sollte man zunächst die URL genau überprüfen, um mögliche Weiterleitungen zu erkennen.
  • Implementieren Sie E-Mail-Sicherheits-Tools, die Open-Redirect-Links in E-Mails identifizieren und blockieren.
  • Führen Sie regelmäßig Schulungen durch, um über aktuelle Cyberangriffe, Taktiken und Techniken auf dem Laufenden zu bleiben.

Indicators of Compromise (IOCs)

EML-Datei

  • a19736babb25b944e51a23f00a3eecef59a59c8f9032a6ed883f7fc7b66a1ee4

PDF-Datei

  • 9ede4446962d5ffcd85b83fb8ac41fb155b046841908ecd4ac3198c73cc3cd1c

URLs

  • hxxps[:]//content[.]amanet[.]org/?m=CiGW.81UwlU3LD6ZH5M4ZoUXv03dAeWfC&r=hxxps[:]//bkafrn[.]com/?rfmubqxv&e=[victim’s email address]
  • hxxps[:]//bkafrn[.]com/?rfmubqxv=[hash][victim’s email address]
  • hxxps[:]//yu2ipe30kal[.]americanpavernentsystems[.]com/common/login

 

Paul Apostolescu ist Chief Technology Officer bei der VIPRE Security Group.